HSM korumalı anahtarları Yönetilen HSM'ye aktarma (KAG)
Azure Key Vault Yönetilen HSM, şirket içi donanım güvenlik modülünüzde (HSM) oluşturulan anahtarları içeri aktarmayı destekler; anahtarlar HSM koruma sınırını asla bırakmaz. Bu senaryo genellikle kendi anahtarını getir (KAG) olarak adlandırılır. Yönetilen HSM, anahtarlarınızı korumak için Marvell LiquidSecurity HSM bağdaştırıcılarını (FIPS 140-2 Level 3 onaylı) kullanır.
Yönetilen HSM ile kullanmak üzere kendi HSM korumalı anahtarlarınızı planlamanıza, oluşturmanıza ve aktarmanıza yardımcı olması için bu makaledeki bilgileri kullanın.
Not
Bu işlevsellik, 21Vianet tarafından sağlanan Microsoft Azure'da kullanılamaz. Bu içeri aktarma yöntemi yalnızca desteklenen HSM'ler için kullanılabilir.
Daha fazla bilgi ve Yönetilen HSM kullanmaya başlama öğreticisi için bkz . Yönetilen HSM nedir?.
Genel bakış
Burada işleme genel bir bakış sağlanır. Tamamlanması gereken belirli adımlar makalenin devamında açıklanmıştır.
- Yönetilen HSM'de bir anahtar oluşturun (Anahtar Değişim Anahtarı (KEK) olarak adlandırılır). KEK, yalnızca
importanahtar işlemine sahip bir RSA-HSM anahtarı olmalıdır. - KEK ortak anahtarını .pem dosyası olarak indirin.
- KEK ortak anahtarını şirket içi HSM'ye bağlı çevrimdışı bir bilgisayara aktarın.
- Çevrimdışı bilgisayarda, bir BYOK dosyası oluşturmak için HSM satıcınız tarafından sağlanan BYOK aracını kullanın.
- Hedef anahtar, Yönetilen HSM'ye aktarılana kadar şifrelenmiş olarak kalan bir KEK ile şifrelenir. Anahtarınızın yalnızca şifrelenmiş sürümü şirket içi HSM'den ayrılır.
- Yönetilen HSM içinde oluşturulan KEK dışarı aktarılamaz. HSM'ler, Yönetilen HSM dışında bir KEK'nin net bir sürümünün bulunmaması kuralını zorlar.
- KEK, hedef anahtarın içeri aktarılacağı yönetilen HSM'de olmalıdır.
- BYOK dosyası Yönetilen HSM'ye yüklendiğinde, Yönetilen HSM hedef anahtar malzemesinin şifresini çözmek ve HSM anahtarı olarak içeri aktarmak için KEK özel anahtarını kullanır. Bu işlem tamamen HSM içinde gerçekleşir. Hedef anahtar her zaman HSM koruma sınırında kalır.
Önkoşullar
Bu makaledeki Azure CLI komutlarını kullanmak için aşağıdaki öğelere sahip olmanız gerekir:
- Microsoft Azure aboneliği. Hesabınız yoksa, ücretsiz deneme için kaydolabilirsiniz.
- Azure CLI sürüm 2.12.0 veya üzeri. Sürümü bulmak için
az --versionkomutunu çalıştırın. Yükleme veya yükseltme yapmanız gerekirse bkz. Azure CLI'yı yükleme. - Aboneliğinizde desteklenen HSM'ler listesinde yönetilen bir HSM. Bkz . Hızlı Başlangıç: Yönetilen HSM'yi sağlamak ve etkinleştirmek için Azure CLI kullanarak yönetilen HSM sağlama ve etkinleştirme.
Azure Cloud Shell
Azure, tarayıcınız aracılığıyla kullanabileceğiniz etkileşimli bir kabuk ortamı olan Azure Cloud Shell'i barındırıyor. Azure hizmetleriyle çalışmak için Cloud Shell ile Bash veya PowerShell kullanabilirsiniz. Yerel ortamınıza herhangi bir şey yüklemek zorunda kalmadan bu makaledeki kodu çalıştırmak için Cloud Shell önceden yüklenmiş komutlarını kullanabilirsiniz.
Azure Cloud Shell'i başlatmak için:
| Seçenek | Örnek/Bağlantı |
|---|---|
| Kodun veya komut bloğunun sağ üst köşesindeki Deneyin'i seçin. Deneyin seçildiğinde kod veya komut otomatik olarak Cloud Shell'e kopyalanmaz. |  |
| https://shell.azure.comadresine gidin veya Cloud Shell'i tarayıcınızda açmak için Cloud Shell'i Başlat düğmesini seçin. |  |
| Azure portalının sağ üst kısmındaki menü çubuğunda Cloud Shell düğmesini seçin. |  |
Azure Cloud Shell'i kullanmak için:
Cloud Shell'i başlatın.
Kodu veya komutu kopyalamak için kod bloğundaki (veya komut bloğundaki) Kopyala düğmesini seçin.
Windows ve Linux'ta Ctrl+Shift V'yi seçerek veya macOS üzerinde Cmd+Shift++V'yi seçerek kodu veya komutu Cloud Shell oturumuna yapıştırın.
Kodu veya komutu çalıştırmak için Enter'ı seçin.
CLI kullanarak Azure'da oturum açmak için şunu yazın:
az login
CLI aracılığıyla oturum açma seçenekleri hakkında daha fazla bilgi için Azure CLI ile oturum açma bölümüne göz atın
Desteklenen HSM'ler
| Satıcı adı | Satıcı Türü | Desteklenen HSM modelleri | Daha Fazla Bilgi |
|---|---|---|---|
| Şifreleme | ISV (Kurumsal Anahtar Yönetim Sistemi) | Birden çok HSM markası ve modeli
|
|
| Emanet | Üretici Hizmet olarak HSM |
|
nCipher new BYOK tool and documentation |
| Fortanix | Üretici Hizmet olarak HSM |
|
BYOK için SDKMS anahtarlarını Bulut Sağlayıcılarına aktarma - Azure Key Vault |
| IBM | Üretici | IBM 476x, CryptoExpress | IBM Enterprise Key Management Foundation |
| Marvell | Üretici | Tüm LiquidSecurity HSM'leri
|
Marvell BYOK aracı ve belgeleri |
| Securosys SA | Üretici, hizmet olarak HSM | Primus HSM ailesi, Securosys Clouds HSM | Primus BYOK aracı ve belgeleri |
| StorMagic | ISV (Kurumsal Anahtar Yönetim Sistemi) | Birden çok HSM markası ve modeli
|
SvKMS ve Azure Key Vault BYOK |
| Thales | Üretici |
|
Luna BYOK aracı ve belgeleri |
| Utimaco | Üretici Hizmet olarak HSM |
u.trust Anchor, CryptoServer | Utimaco BYOK aracı ve Tümleştirme kılavuzu |
Desteklenen anahtar türleri
| Anahtar adı | Anahtar türü | Anahtar boyutu/eğrisi | Kaynak | Açıklama |
|---|---|---|---|---|
| Anahtar Değişim Anahtarı (KEK) | RSA-HSM | 2.048 bit 3.072 bit 4.096 bit |
Yönetilen HSM | Yönetilen HSM'de oluşturulan HSM destekli RSA anahtar çifti |
| Hedef anahtar | ||||
| RSA-HSM | 2.048 bit 3.072 bit 4.096 bit |
Satıcı HSM | Yönetilen HSM'ye aktarılacak anahtar | |
| EC-HSM | P-256 P-384 P-521 |
Satıcı HSM | Yönetilen HSM'ye aktarılacak anahtar | |
| Simetrik anahtar (oct-hsm) | 128 bit 192 bit 256 bit |
Satıcı HSM | Yönetilen HSM'ye aktarılacak anahtar | |
Anahtarınızı oluşturma ve Yönetilen HSM'ye aktarma
Anahtarınızı oluşturmak ve Yönetilen HSM'ye aktarmak için:
- 1. Adım: KEK oluşturma
- 2. Adım: KEK ortak anahtarını indirme
- 3. Adım: Anahtarınızı oluşturma ve aktarım için hazırlama
- 4. Adım: Anahtarınızı Yönetilen HSM'ye aktarma
1. Adım: KEK oluşturma
KEK, Yönetilen HSM'de oluşturulan bir RSA anahtarıdır. KEK, içeri aktarmak istediğiniz anahtarı ( hedef anahtar) şifrelemek için kullanılır.
KEK şu şekilde olmalıdır:
- RSA-HSM anahtarı (2.048 bit; 3.072 bit; veya 4.096 bit)
- Hedef anahtarı içeri aktarmak istediğiniz yönetilen HSM'de oluşturulur
- İzin verilen anahtar işlemleri olarak ayarlanmış şekilde oluşturuldu
import
Not
KEK'nin izin verilen tek anahtar işlemi olarak 'içeri aktarma' olması gerekir. 'import' diğer tüm anahtar işlemleriyle birbirini dışlar.
anahtar işlemleri olarak ayarlanmış importbir KEK oluşturmak için az keyvault key create komutunu kullanın. Aşağıdaki komuttan döndürülen anahtar tanımlayıcısını (kid) kaydedin. (3. Adımda değerini kullanacaksınızkid.)
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM
2. Adım: KEK ortak anahtarını indirme
KEK ortak anahtarını bir .pem dosyasına indirmek için az keyvault key download komutunu kullanın. İçeri aktardığınız hedef anahtar KEK ortak anahtarı kullanılarak şifrelenir.
az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem
KEKforBYOK.publickey.pem dosyasını çevrimdışı bilgisayarınıza aktarın. Sonraki adımda bu dosyaya ihtiyacınız olacak.
3. Adım: Anahtarınızı oluşturma ve aktarım için hazırlama
KAG aracını indirip yüklemek için HSM satıcınızın belgelerine bakın. Hedef anahtar oluşturmak için HSM satıcınızın yönergelerini izleyin ve ardından bir anahtar aktarım paketi (BYOK dosyası) oluşturun. BYOK aracı, 1. Adım'dan ve 2. Adımda indirdiğiniz KEKforBYOK.publickey.pem dosyasını kullanarak kid bir BYOK dosyasında şifrelenmiş bir hedef anahtar oluşturur.
BYOK dosyasını bağlı bilgisayarınıza aktarın.
Not
RSA 1.024 bit anahtarları içeri aktarma desteklenmez. EC-HSM P256K anahtarlarının içeri aktarılması desteklenir.
Bilinen sorun: Luna HSM'lerinden RSA 4K hedef anahtarını içeri aktarmak yalnızca üretici yazılımı 7.4.0 veya daha yeni sürümlerle desteklenir.
4. Adım: Anahtarınızı Yönetilen HSM'ye aktarma
Anahtar içeri aktarma işlemini tamamlamak için, anahtar aktarım paketini (byok dosyası) bağlantısı kesilmiş bilgisayarınızdan İnternet'e bağlı bilgisayara aktarın. BYOK dosyasını Yönetilen HSM'ye yüklemek için az keyvault key import komutunu kullanın.
az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok
Karşıya yükleme başarılı olursa, Azure CLI içeri aktarılan anahtarın özelliklerini görüntüler.
Sonraki adımlar
Artık bu HSM korumalı anahtarı Yönetilen HSM'nizde kullanabilirsiniz. Daha fazla bilgi için bu fiyat ve özellik karşılaştırması konusuna bakın.